避免踩坑：易盾安全老司機起底Android九大漏洞，附解決建議

標籤：android   漏洞   安全   

Android應用會遇到各種各樣的漏洞，如何從細節上瞭解各種安全隱患，積極採取適當的防禦措施便變得尤為重要。為了讓大家對Android漏洞有一個非常全面的認識，網易雲易盾資深安全工程師徐從祥為大家詳細解讀常見九大的Android漏洞，供各位學習參考。（如果下面乾貨內容沒有讓各位盡興，歡迎來官網申請相關產品試用，面對面交流，保證解決你的安全難題。

?

第一大類：AndroidManifest配置相關的風險或漏洞

程式可被任意調試

風險詳情：安卓應用apk設定檔Android Manifest.xml中android:debuggable=true，調試開關被開啟。

危害情況：app可以被調試。

修複建議：把AndroidManifest.xml設定檔中調試開關屬性關掉，即設定android:Debugable="false"。

程式資料任意備份

風險詳情：安卓應用apk設定檔AndroidManifest.xml中android:allowBackup=true，資料備份開關被開啟。

危害情況：app應用資料可被備份匯出。

修複建議：把AndroidManifest.xml設定檔備份開關關掉，即設定android:allowBackup="false"。

組件暴露：建議使用android:protectionLevel="signature"驗證調用來源。

Activity組件暴露

?

風險詳情：Activity組件的屬性exported被設定為true或是未設定exported值但IntentFilter不為空白時，activity被認為是匯出的，可通過設定相應的Intent喚起activity。

危害情況：駭客可能構造惡意資料針對匯出activity組件實施越權攻擊。

修複建議：如果組件不需要與其他app共用資料或互動，請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動，請對組件進行許可權控制和參數校正。

Service組件暴露

風險詳情：Service組件的屬性exported被設定為true或是未設定exported值但IntentFilter不為空白時，Service被認為是匯出的，可通過設定相應的Intent喚起Service。

危害情況：駭客可能構造惡意資料針對匯出Service組件實施越權攻擊。

修複建議：如果組件不需要與其他app共用資料或互動，請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動，請對組件進行許可權控制和參數校正。

ContentProvider組件暴露

?

風險詳情：ContentProvider組件的屬性exported被設定為true或是Android API<=16時，Content Provider被認為是匯出的。

危害情況：駭客可能訪問到應用本身不想共用的資料或檔案。

修複建議：如果組件不需要與其他app共用資料或互動，請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動，請對組件進行許可權控制和參數校正。

BroadcastReceiver組件暴露

風險詳情：BroadcastReceiver組件的屬性exported被設定為true或是未設定exported值但IntentFilter不為空白時，BroadcastReceiver被認為是匯出的。

危害情況：匯出的廣播可以導致資料泄漏或者是越權。

修複建議：如果組件不需要與其他app共用資料或互動，請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動，請對組件進行許可權控制和參數校正。

?

Intent SchemeURLs攻擊

風險詳情：在AndroidManifast.xml設定Scheme協議之後，可以通過瀏覽器開啟對應的Activity。

危害情況：攻擊者通過訪問瀏覽器構造Intent文法喚起app相應組件，輕則引起拒絕服務，重則可能演變對app進行越權調用甚至升級為提權漏洞。

修複建議：app對外部調用過程和傳輸資料進行安全檢查或檢驗，配置category filter, 添加android.intent.category.BROWSABLE方式規避風險

第二大類：WebView組件及與伺服器通訊相關的風險或漏洞

Webview存在本地Java介面

風險詳情：android的webView組件有一個非常特殊的介面函數addJavascriptInterface，能實現本地java與js之間互動。

危害情況：在targetSdkVersion小於17時，攻擊者利用 addJavascriptInterface這個介面添加的函數，可以遠程執行任意代碼。

修複建議：建議開發人員不要使用addJavascriptInterface，使用注入javascript和第三方協議的替代方案。

Webview組件遠程代碼執行（調用getClassLoader）

風險詳情：使用低於17的targetSDKVersion，並且在Context子類中使用addJavascriptInterface綁定this對象。

危害情況：通過調用getClassLoader可以繞過google底層對getClass方法的限制。

修複建議：targetSDKVersion使用大於17的版本。

?

WebView忽略SSL認證錯誤

風險詳情：WebView調用onReceivedSslError方法時，直接執行handler.proceed()來忽略該認證錯誤。

危害情況：忽略SSL認證錯誤可能引起中間人攻擊。

修複建議：不要重寫onReceivedSslError方法，或者對於SSL認證錯誤問題按照業務情境判斷，避免造成資料明文傳輸情況。

webview啟用訪問檔案資料

風險詳情：Webview中使用setAllowFileAccess(true)，App可通過webview訪問私人目錄下的檔案資料。

危害情況：在Android中，mWebView.setAllowFileAccess(true)為預設設定。當setAllowFileAccess(true)時，在File域下，可執行任意的JavaScript代碼，如果繞過同源策略能夠對私人目錄檔案進行訪問，導致使用者隱私泄漏。

修複建議：使用WebView.getSettings().setAllowFileAccess(false)來禁止訪問私人檔案資料。

?

SSL通訊服務端檢測信任任意認證

風險詳情：自訂SSLx509 TrustManager，重寫checkServerTrusted方法，方法內不做任何服務端的認證校正。

危害情況：駭客可以使用中間人攻擊擷取加密內容。

修複建議：嚴格判斷服務端和用戶端認證校正，對於例外狀況事件禁止return 空或者null。

HTTPS關閉主機名稱驗證

風險詳情：構造HttpClient時，設定HostnameVerifier時參數使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier。

危害情況：關閉主機名稱校正可以導致駭客使用中間人攻擊擷取加密內容。

修複建議：APP在使用SSL時沒有對認證的主機名稱進行校正，信任任意主機名稱下的合法的認證，導致加密通訊可被還原成明文通訊，加密傳輸遭到破壞。

?

SSL通訊用戶端檢測信任任意認證

風險詳情：自訂SSLx509 TrustManager，重寫checkClientTrusted方法，方法內不做任何服務端的認證校正。

危害情況：駭客可以使用中間人攻擊擷取加密內容。

修複建議：嚴格判斷服務端和用戶端認證校正，對於例外狀況事件禁止return 空或者null。

開放socket連接埠

風險詳情：app綁定連接埠進行監聽，建立串連後可接收外部發送的資料。

危害情況：攻擊者可構造惡意資料對連接埠進行測試，對於綁定了IP 0.0.0.0的app可發起遠程攻擊。

修複建議：如無必要，只綁定本地ip127.0.0.1，並且對接收的資料進行過濾、驗證。

第三大類：資料安全風險

資料儲存：

SD卡資料被第三方程式訪問

漏洞描述：發現調用getExternalStorageDirectory，儲存內容到SD卡可以被任意程式訪問，存在安全隱患。

安全建議：建議儲存敏感資訊到程式私人目錄，並對敏感性資料加密。

全域File可讀寫漏洞-openFileOutput

風險詳情：openFileOutput(Stringname,int mode)方法建立內部檔案時，將檔案設定了全域的可讀許可權MODE_WORLD_READABLE。

危害情況：攻擊者惡意讀取檔案內容，擷取敏感資訊。

修複建議：請開發人員確認該檔案是否儲存敏感性資料，如存在相關資料，請去掉檔案全域可讀屬性。

通用檔案可寫

?

風險詳情：openFileOutput(Stringname,int mode)方法建立內部檔案時，將檔案設定了全域的可寫入權限MODE_WORLD_WRITEABLE。

危害情況：攻擊者惡意寫檔案內容破壞APP的完整性。

修複建議：請開發人員確認該檔案是否儲存敏感性資料，如存在相關資料，請去掉檔案全域可寫屬性。

通用檔案可讀可寫

風險詳情：openFileOutput(Stringname,int mode)方法建立內部檔案時，將檔案設定了全域的可讀寫權限。

危害情況：攻擊者惡意寫檔案內容或者，破壞APP的完整性，或者是攻擊者惡意讀取檔案內容，擷取敏感資訊。

修複建議：請開發人員確認該檔案是否儲存敏感性資料，如存在相關資料，請去掉檔案全域可寫、寫屬性。

私人檔案泄露風險-getSharedPreferences：

設定檔可讀

風險詳情：使用getSharedPreferences開啟檔案時第二個參數設定為MODE_WORLD_READABLE。

危害情況：檔案可以被其他應用讀取導致資訊洩漏。

修複建議：如果必須設定為全域可讀模式供其他程式使用，請保證儲存的資料非隱私資料或是加密後儲存。

設定檔可寫

風險詳情：使用getSharedPreferences開啟檔案時第二個參數設定為MODE_WORLD_WRITEABLE。

危害情況：檔案可以被其他應用寫入導致檔案內容被篡改，可能導致影響應用程式的正常運行或更嚴重的問題。

修複建議：使用getSharedPreferences時第二個參數設定為MODE_PRIVATE即可。

設定檔可讀可寫

風險詳情：使用getSharedPreferences開啟檔案時，如將第二個參數設定為MODE_WORLD_READABLE 或 MODE_WORLD_WRITEABLE。

危害情況：當前檔案可以被其他應用讀取和寫入，導致資訊洩漏、檔案內容被篡改，影響應用程式的正常運行或更嚴重的問題。

修複建議：使用getSharedPreferences時第二個參數設定為MODE_PRIVATE。禁止使用MODE_WORLD_READABLE |MODE_WORLD_WRITEABLE模式。

資料加密：

明文數位憑證漏洞

Apk使用的數位憑證可被用來校正伺服器的合法身份，以及在與伺服器進行通訊的過程中對傳輸資料進行加密、解密運算，保證傳輸資料的保密性、完整性。

明文儲存的數位憑證如果被篡改，用戶端可能串連到假冒的服務端上，導致使用者名稱、密碼等資訊被竊取；如果明文認證被盜取，可能造成傳輸資料被截獲解密，使用者資訊泄露，或者偽造用戶端向伺服器發送請求，篡改伺服器中的使用者資料或造成伺服器響應異常。

AES弱加密

風險詳情：在AES加密時，使用了“AES/ECB/NoPadding”或“AES/ECB/PKCS5padding”的模式。

危害情況：ECB是將檔案分塊後對檔案塊做同一加密，破解加密只需要針對一個檔案塊進行解密，降低了破解難度和檔案安全性。

修複建議：禁止使用AES加密的ECB模式，顯式指定密碼編譯演算法為：CBC或CFB模式，可帶上PKCS5Padding填充。AES密鑰長度最少是128位，推薦使用256位。

?

隨機數不安全使用

風險詳情：調用SecureRandom類中的setSeed方法。

危害情況：產生的隨機數具有確定性，存在被破解的可能性。

修複建議：用/dev/urandom或/dev/random來初始化偽隨機數產生器。

AES/DES寫入程式碼密鑰

風險詳情：使用AES或DES加解密時，密鑰採用寫入程式碼在程式中。

危害情況：通過反編譯擷取密鑰可以輕易解密APP通訊資料。

修複建議：祕密金鑰加密儲存或變形後進行加解密運算，不要寫入程式碼到代碼中。

資料轉送：與上面的重複了，也可以把webview系列的漏洞歸入這一小類。

第四大類：檔案目錄遍曆類漏洞

Provider檔案目錄遍曆

風險詳情：當Provider被匯出且覆寫了openFile方法時，沒有對Content Query Uri進行有效判斷或過濾。

危害情況：攻擊者可以利用openFile()介面進行檔案目錄遍曆以達到訪問任意可讀檔案的目的。

修複建議：一般情況下無需覆寫openFile方法，如果必要，對提交的參數進行“../”目錄跳轉符或其他安全校正。

unzip解壓縮漏洞

風險詳情：解壓 zip檔案，使用getName()擷取壓縮檔名後未對名稱進行校正。

危害情況：攻擊者可構造惡意zip檔案，被解壓的檔案將會進行目錄跳轉被解壓到其他目錄，覆蓋相應檔案導致任意代碼執行。

修複建議：解壓檔案時，判斷檔案名稱是否有../特殊字元。

第五大類：檔案格式解析類漏洞

?

FFmpeg檔案讀取

風險詳情：使用了低版本的FFmpeg庫進行視頻解碼。

危害情況：在FFmpeg的某些版本中可能存在本地檔案讀取漏洞，可以通過構造惡意檔案擷取本地檔案內容。

修複建議：升級FFmpeg庫到最新版。

安卓“Janus”漏洞

漏洞詳情：向原始的AppAPK的前部添加一個攻擊的classes.dex檔案(A檔案)，安卓系統在校正時計算了A檔案的hash值，並以”classes.dex”字串做為key儲存， 然後安卓計算原始的classes.dex檔案（B），並再次以”classes.dex”字串做為key儲存，這次儲存會覆蓋掉A檔案的hash值，導致Android系統認為APK沒有被修改，完成安裝，APK程式運行時，系統優先以先找到的A檔案執行，忽略了B，導致漏洞的產生。

危害情況：該漏洞可以讓攻擊者繞過安卓系統的signature scheme V1簽名機制，進而直接對App進行篡改。而且由於安卓系統的其他安全機制也是建立在簽名和校正基礎之上，該漏洞相當於繞過了安卓系統的整個安全機制。

修複建議：禁止安裝有多個同名ZipEntry的APK檔案。

?

第六大類：記憶體堆棧類漏洞

未使用編譯器堆棧保護技術

風險詳情：為了檢測棧中的溢出，引入了Stack Canaries漏洞緩解技術。在所有函數調用發生時，向棧幀內壓入一個額外的被稱作canary的隨機數，當棧中發生溢出時，canary將被首先覆蓋，之後才是EBP和返回地址。在函數返回之前，系統將執行一個額外的安全驗證操作，將棧幀中原先存放的canary和.data中副本的值進行比較，如果兩者不吻合，說明發生了棧溢出。

危害情況：不使用StackCanaries棧保護技術，發生棧溢出時系統並不會對程式進行保護。

修複建議：使用NDK編譯so時，在Android.mk檔案中添加：LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all

未使用地址空間隨機化技術

風險詳情：PIE全稱Position Independent Executables，是一種地址空間隨機化技術。當so被載入時，在記憶體裡的地址是隨機分配的。

危害情況：不使用PIE，將會使得shellcode的執行難度降低，攻擊成功率增加。

修複建議：NDK編譯so時，加入LOCAL_CFLAGS := -fpie -pie開啟對PIE的支援。

libupnp棧溢出漏洞

風險詳情：使用了低於1.6.18版本的libupnp庫檔案。

危害情況：構造惡意資料包可造成緩衝區溢位，造成代碼執行。

修複建議：升級libupnp庫到1.6.18版本或以上。

第七大類：動態類漏洞

DEX檔案動態載入

風險詳情：使用DexClassLoader載入外部的 apk、jar 或 dex檔案，當外部檔案的來源無法控制時或是被篡改，此時無法保證載入的檔案是否安全。

危害情況：載入惡意的dex檔案將會導致任意命令的執行。

修複建議：載入外部檔案前，必須使用校正簽名或MD5等方式確認外部檔案的安全性。

動態註冊廣播

風險詳情：使用registerReceiver動態註冊的廣播在組件的生命週期裡是預設匯出的。

危害情況：匯出的廣播可以導致拒絕服務、資料泄漏或是越權調用。

修複建議：使用帶許可權檢驗的registerReceiver API進行動態廣播的註冊。

第八大類：校正或限定不嚴導致的風險或漏洞

Fragment注入

風險詳情：通過匯出的PreferenceActivity的子類，沒有正確處理Intent的extra值。

危害情況：攻擊者可繞過限制訪問未授權的介面。

修複建議：當targetSdk大於等於19時，強制實現了isValidFragment方法；小於19時，在PreferenceActivity的子類中都要加入isValidFragment ，兩種情況下在isValidFragment方法中進行fragment名的合法性校正。

隱式意圖調用

風險詳情：封裝Intent時採用隱式設定，只設定action，未限定具體的接收對象，導致Intent可被其他應用擷取並讀取其中資料。

危害情況：Intent隱式調用發送的意圖可被第三方劫持，導致內部隱私資料泄露。

修複建議：可將隱式調用改為顯式調用。

第九大類：命令列調用類相關的風險或漏洞

動態連結程式庫中包含執行命令函數

風險詳情：在native程式中，有時需要執行系統命令，在接收外部傳入的參數執行命令時沒有做過濾或檢驗。

危害情況：攻擊者傳入任意命令，導致惡意命令的執行。

修複建議：對傳入的參數進行嚴格的過濾。

避免踩坑：易盾安全老司機起底Android九大漏洞，附解決建議